Общая характеристика организационного обеспечения защиты информации

При создании подразделения  информационной безопасности надо учитывать, что для эксплуатации средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования ТСЗИ. В то же время, разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой автоматизированной системы организации. 

Поэтому целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ. Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации. Не столько даже тех, в которых работают конечные пользователи автоматизированной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники. Поэтому разрабатываемая технология обеспечения информационной безопасности должна обеспечивать: 

• дифференцированный подход к защите различных АРМ  и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач); 

• унификацию вариантов  применения средств защиты информации на АРМ с одинаковыми требованиями к защите; 

• реализацию разрешительной системы доступа к ресурсам АС; 

• минимизацию, формализацию (в идеале автоматизацию), реальную выполнимость рутинных операций и согласованность действий различных подразделений по реализации требований разработанных положений и инструкций, не создавая больших неудобств при решении сотрудниками своих основных задач; 

• учет динамики развития автоматизированной системы, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ; 

• минимизацию  необходимого числа специалистов отдела защиты информации. 

Надо совершенно четко понимать, что соблюдение необходимых  требований по защите информации, препятствующих осуществлению несанкционированных  изменений в системе, неизбежно  приводит к усложнению процедуры  правомочной модификации АС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой АС. 

Многими научно-инженерным предприятиями уже накоплен значительный опыт предоставления заказчикам услуг по разработке и внедрению технологии обеспечения информационной безопасности.  

Основу данной технологии составляет продуманная  система определения требуемых  степеней (категорий) защищенности ресурсов АС. Данные предприятия располагают пакетом документов, необходимым для разработки и внедрения данной технологии на объектах заказчика. В данный пакет документов входят: 

• Концепция  обеспечения информационной безопасности. Данный документ определяет общую систему  взглядов в организации на проблему защиты информации в АС и пути решения  этой проблемы с учетом накопленного опыта и современных тенденций ее развития. 

• Положение  о категорировании. Данный документ определяет порядок категорирования  защищаемых ресурсов и требования по защите ресурсов различных категорий. 

• План защиты АС. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также незаконного вмешательства в процесс функционирования конкретной АС. План защиты включает описание технологии обработки данных в защищаемой подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации системы, необходимый набор инструкций должностным лицам (инструкция пользователю АС, инструкция администратору безопасности АС и т.д.), определяет порядок взаимодействия подразделений и должностных лиц при внесении изменений в списки пользователей и программно-аппаратную конфигурацию АРМ, а также определяет распределение обязанностей и порядок составления, ведения и использования формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в процессе развития АС. 

Концептуальная  модель системы организационно-распорядительных документов по защите информации и  формуляров защищаемых ресурсов приведена  на рис.1.

 
 
 

Защита  компьютерных данных 

Угрозы конфиденциальности данных и программ реализуются при  несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Полезная информация может быть получена и при перехвате электромагнитного излучения, издаваемого аппаратурой системы. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за характером процесса обмена сообщениями (трафиком) без доступа к их содержанию.

Целостность данных и программ нарушается при несанкционированном  уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, активные ретрансляции сообщений с их задержкой. Кроме того, в системах обработки сообщений отсроченные сообщения могут доставляться нужному адресату ранее заданного момента доставки. Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

Угрозы доступности  данных возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.

Угрозы отказа от выполнения транзакций возникают, когда легальный пользователь выполняет транзакции (передает или принимает платежные документы) в системе, а затем отрицает свое участие в них, чтобы снять с себя ответственность.

К категориям происшествий, связанных с техническими причинами, можно отнести:

- выход из  строя дискового накопителя с  повреждением диска;

- отказы, вызванные  ошибками в программном обеспечении;

- повреждение  магнитных носителей: магнитных  лент, гибких дисков;

- отказы электронных  схем компьютеров и периферийного  оборудования;

- нарушение в  сети электропитания: перенапряжения  или импульсные выбросы, аварийное  отключение электропитания;

- воздействие  статического электричества;

- ошибки при  передаче данных по каналам  связи;

- повреждения  кабелей связи при строительных  работах.

Происшествия, связанные со стихийными бедствиями, включают:

- пожар;

- затопление  при аварии водопровода, отопления  или канализации;

- разрушение  ветхих элементов конструкции  здания;

- прямое попадание  молнии или наводка импульсных  токов во время грозы.

Происшествия, связанные с действиями людей, включают:

- ненамеренное  заражение компьютера вирусом  при использовании посторонней  игровой программы, учебного пакета, демо-версии и т.п.;

- неправильные  действия малоквалифицированного  персонала при профилактике, техническом обслуживании или ремонте;

- ненамеренное  повреждение аппаратуры в результате  случайных действий безответственных  лиц; обрыв соединительного кабеля  или повреждение аппаратуры при  неосторожном поведении в помещении,  где установлена компьютерная  система;

- ошибочные действия  оператора при работе, приводящие  к разрушению данных;

- неправильное  обращение с гибкими дисками  или другими магнитными носителями  при их использовании или хранении. 

Злоумышленные действия против компьютерных систем 

Злоумышленные действия против компьютерных систем - это наиболее многочисленный по своей классификации перечень преступлений. К ним можно отнести:

- проникновение  в систему через внешний (например, телефонный) канал связи с присвоением  полномочий одного из легальных пользователей с целью подделки, копирования или уничтожения данных. Реализуется угадыванием либо подбором паролей, выявлением паролей и протоколов через агентуру в банке, перехватом паролей при негласном подключении к каналу во время сеанса связи, дистанционным перехватом паролей в результате приема электромагнитного излучения;

- проникновение  в систему через телефонную  сеть при перекоммутации канала  на модем злоумышленника после  вхождения легального пользователя  в сеть и предъявления им  своих полномочий с целью присвоения прав этого пользователя на доступ к данным;

- копирование  финансовой информации и паролей  при негласном пассивном подключении  к кабелю локальной сети или  приеме электромагнитного излучения  сетевого адаптера;

- выявление паролей  легальных пользователей при негласном активном подключении к кабелю локальной сети при имитации запроса сетевой операционной системы;

- анализ трафика  при пассивном подключении к  каналу связи или при перехвате  электромагнитного излучения аппаратуры  для выявления протоколов обмена;

- подключение  к каналу связи в качестве  активного ретранслятора для  фальсификации платежных документов, изменения их содержания, порядка  следования, повторной передачи, доставки  с задержкой или упреждением;

- блокировка  канала связи собственными сообщениями, вызывающая отказ в обслуживании легальных пользователей;

- отказ абонента  от факта приема (передачи) платежных  документов или формирование  ложных сведений о времени  приема (передачи) сообщений для  снятия с себя ответственности  за выполнение этих операций;

- формирование  ложных утверждений о полученных (переданных) платежных документах;

- скрытая несанкционированная  передача конфиденциальной информации  в составе легального сообщения  для выявления паролей, ключей  и протоколов доступа;

- ложное объявление себя другим пользователем (маскировка) для нарушения адресации сообщений или возникновения отказа в законном обслуживании;

- злоупотребление  привилегиями супервизора для  нарушения механизмов безопасности  локальной сети;

- перехват электромагнитного излучения от дисплеев серверов или рабочих станций для копирования информации и выявления процедур доступа;

- сбор и анализ  использованных распечаток, документации  и других материалов для копирования  информации или выявления паролей,  идентификаторов, процедур доступа и ключей и т.д.